文档介绍:网络与信息安全网络安全
顾才东
内容
截获网络上的数据包
监听数据包的技术
Libpcap
WinPcap
入侵检测技术
网络监听
在一个共享式网络,可以听取所有的流量
是一把双刃剑
管理员可以用来监听网络的流量情况
开发网络应用的程序员可以监视程序的网络情况
黑客可以用来刺探网络情报
目前有大量商业的、免费的监听工具,俗称嗅探器(sniffer)
以太网络的工作原理
载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术
载波侦听:是指在网络中的每个站点都具有同等的权利,在传输自己的数据时,首先监听信道是否空闲
如果空闲,就传输自己的数据
如果信道被占用,就等待信道空闲
而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突
以太网采用了CSMA/CD技术,由于使用了广播机制,所以,所有与网络连接的工作站都可以看到网络上传递的数据
以太网卡的工作模式
网卡的MAC地址(48位)
通过ARP来解析MAC与IP地址的转换
用ipconfig/ifconfig可以查看MAC地址
正常情况下,网卡应该只接收这样的包
MAC地址与自己相匹配的数据帧
广播包
网卡完成收发数据包的工作,两种接收模式
混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来
非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包(和组播数据包)
为了监听网络上的流量,必须设置为混杂模式
共享网络和交换网络
共享式网络
通过网络的所有数据包发往每一个主机
最常见的是通过HUB连接起来的子网
交换式网络
通过交换机连接网络
由交换机构造一个“MAC地址-端口”映射表
发送包的时候,只发到特定的端口上
共享式网络示意图
应用程序抓包的技术
UNIX系统提供了标准的API支持
Packet socket
BPF
Windows平台上通过驱动程序来获取数据包
驱动程序
WinPcap
Packet socket
设置混杂模式
用ioctl()函数可以设置
打开一个packet socket
packet_socket = socket(PF_PACKET, int socket_type, int protocol);
以前的做法,�socket(, SOCK_PACKET, protocol)
不同的UNIX或者Linux版本可能会有不同的函数调用,本质上
打开一个socket(或者通过open打开一个设备)
通过ioctl()或者setsockopt()设置为混杂模式
BPF(Berkeley Packet Filter)
BSD抓包法
BPF是一个核心态的组件,work Tap接收所有的数据包
Kernel Buffer,保存过滤器送过来的数据包
User buffer,用户态上的数据包缓冲区
Libpcap(一个抓包工具库)支持BPF
Libpcap是用户态的一个抓包工具
Libpcap几乎是系统无关的
BPF是一种比较理想的抓包方案
在核心态,所以效率比较高,
但是,只有少数OS支持(主要是一些BSD操作系统)